Що таке Trojan. Що таке "Троянський Кінь". І як його вилучити вручну. Принцип дії трояна
Всі колись чули про троянську програму "троян", але не багато хто знає, точно, що це таке. Давайте трохи прояснимо ситуацію у цій статті.
Троянська програма. (Також - троян, троянець, троянський кінь)- це шкідлива програма, створена людьми для збору, руйнування та модифікації інформації, порушення працездатності комп'ютера або використання його ресурсів в особистих цілях.
Під час встановлення сервер записується у підпрограми запуску у різних точках. Якщо сервер адресований клієнтом, для зловмисника доступні наступні параметри. Повний доступ до всіх файлів; Звичайно, файли також можна скопіювати на комп'ютер! Відображення різних текстових повідомленьта повідомлень про помилки.
Запустіть кейлоггер; Це реєструє всі команди клавіатури. Наступного разу, коли ви будете в мережі, вони будуть відправлені. І найкраще в кейлоггерах: усі паролі вільно читаються. Повний доступ до реєстру! Надсилайте ключові штрихи, щоб ви могли, наприклад.
Троянська програма поширюється людьми, на відміну вірусів і хробаків, які поширюються самостійно. Тому Троянська програма визначення не є вірусом. Дія троянської програми може насправді і не мати шкідливого характеру, проте трояни заслужили свою репутацію за використання їх в інсталяції програм типу Backdoor (програми, які встановлює зломщик на зламаному ним комп'ютері після отримання початкового доступу з метою повторного отримання доступу до системи).
Троянські програми завантажують у системи безпосередньо зловмисники або створюються умови, що спонукають користувачів самостійно завантажувати і запускати ці програми. Для цього файл програми називають службовим ім'ям, маскують під іншу програму, під файл іншого типу або просто дають привабливу для запуску назву, іконку. Після запуску троянської програми вона завантажує приховані програми, команди та скрипти. Троянські програми часто використовуються для обману систем захисту, у результаті система стає вразливою, дозволяючи таким чином неавторизований доступ до комп'ютера користувача.
Троянська програма може імітувати або навіть повністю замінювати файл, під який вона маскується. Наприклад: програма встановлення, прикладна програма, гра, прикладний документ, малюнок. У тому числі зловмисник може зібрати існуючу програму з додаванням до її вихідного коду троянські компоненти, а потім видавати за оригінал або підміняти його.
Такі ж функції може виконувати комп'ютерні віруси, але на відміну вірусу троянська програма неспроможна поширюватися самостійно. Водночас троянська програма може бути модулем вірусу.
Є дві можливості. Сервер знайдено випадково. Майже всі клієнтські програми мають портфоліо. Це відкриває двері та двері для всіх. Залежно від трояна сервер реєструється, коли він перебуває у мережі по-різному. Вживати делікатних запобіжних заходів.
По-перше, ви повинні змінити всі паролі! Самий безпечний спосіб- Зателефонувати провайдеру! Це дозволяє змінювати паролі. Якщо це так, ви можете ввести пароль неправильно тричі. Більшість троянів включено у файли автозавантаження. Ви завжди активні в фоновому режиміі очікуєте на свою «продуктивність». Як стартові файли відображаються такі файли.
Історія назви:
Назва " троянська програма"походить від назви" троянський кінь" - це величезний дерев'яний кінь, з будівництвом якого пов'язаний один із фінальних епізодів Троянської війни. За легендою, цей дерев'яний кінь був подарований стародавніми греками жителям Трої, всередині якого ховалися воїни, що згодом відкрили завойовникам ворота міста. Тому назва "троянська програма", насамперед всього, відображає скритність та потенційну підступність справжніх задумів розробника програми.
Таким чином, вони мають бути видалені зі стартових файлів. Там, де запроваджено троянець, описується на «сторінках німецьких троянських програм». Завдяки цим знанням, звичайно, також можна шукати трояни як запобіжний засіб. Якщо ви регулярно переглядаєте вищезгадані «файли», ви виявляєте відносно швидкі невідповідності.
Де мені потрібно шукати у реєстрі? Видалення окремих ключів може призвести до збоїв системи! Будь ласка, змініть лише за допомогою відповідних ноу-хау! Під наступними ключами у реєстрі трояни можуть вводити. Все розпочате тут! Перед видаленням ви повинні перевірити всі ключі! Можливо, це програма, яка зареєстрована тільки на панелі завдань.
Троянська програма розміщується зловмисниками на відкриті ресурси (файл-сервери, відкриті для запису накопичувачі самого комп'ютера), на носії інформації або надсилаються за допомогою служб обміну повідомленнями (електронна пошта) з метою їх запуску на конкретному, що входить у певне коло або довільному цільовому». комп'ютер.
Троянські програми використовують для багаторівневої атаки певні комп'ютери, мережі чи ресурси.
Віруси, трояни, черв'яки: існує безліч програм і файлів, які можуть зашкодити користувачам комп'ютерів. Троянець особливо заплутаний, тому що він перебуває на комп'ютері і користувач не помічає його взагалі. Вони ловлять його по-різному, потім він гніздиться в системі та виконує своє завдання тихо та спокійно.
Трояни можуть, наприклад, шпигувати за паролями або отримувати доступ до даних для онлайн-банкінгу. Або вони реєструють усі входи клавіатури користувача. Потім вони таємно передають їх через Інтернет злочинцям, які надали вам троянів. Назва шкідника походить від грецької міфології, і розповідь розповідає, що робить троян: греки залишили величезного дерев'яного коня на війні перед обложеною Троєю. Раніше вони намагалися забрати місто, але безуспішно. Мешканці привезли коня, нічого не підозрюючи, що грецькі солдати ховалися всередині.
Типи тіл троянських програм:
Зазвичай, всі тіла троянських програм розроблені для різних шкідливих цілей, проте вони бувають і нешкідливими. Вони поділяються на категорії, засновані на тому, як трояни впроваджуються в систему та завдають їй шкоди. Існує 6 основних типів:
1. віддалений доступ;
2. знищення даних;
3. завантажувач;
4. сервер;
5. дезактиватор програм безпеки;
6. DOS-атаки.
Тоді вони можуть перемогти Трою. Як і греки, кіберзлочинці також працюють: вони посилають вам те, що ви не ідентифікуєте як зловмисне. Ви самі не встановлюєте неприємну програму. В основному комп'ютер заражається, тому що користувач натискає на керовані посилання, наприклад, спам-листах. Або тому що він відкриває кулон файлу. Іноді це також може бути дуже корисною програмою, яка потім ненавмисно, як і раніше, залишається трояном в багажі. Це може статися при завантаженні будь-яких сумнівних веб-сторінок.
Не знаючи цього, ви можете запустити троянця, а потім зробити роботу підступно у фоновому режимі. Існують також трояни, які завантажують шкідливу програму з Інтернету, коли вони знаходяться на комп'ютері. Особливо поширені так звані бекдор-трояни. Вони налаштовують схованки, які дозволяють хакеру отримати доступ до комп'ютера. Потім хакер може точно бачити, що ви робите на комп'ютері - і в найгіршому випадку навіть дистанційне керування. Потім він може увімкнути веб-камеру та мікрофон і дізнатися, що відбувається навколо комп'ютера.
Цілі троянських програм:
Закачування та скачування файлів;
- копіювання хибних посилань, які ведуть на підроблені веб-сайти, чати чи інші сайти з реєстрацією;
- створення перешкод роботі користувача (жартома або для досягнення інших цілей);
- викрадення даних, що становлять цінність або таємницю, у тому числі інформації для автентифікації, для несанкціонованого доступу до ресурсів (у тому числі третіх систем), вивужування деталей щодо банківських рахунків, які можуть бути використані у злочинних цілях, криптографічної інформації(для шифрування та цифровий підпис);
- шифрування файлів при коді вірусної атаки;
- поширення інших шкідливих програм, такі як віруси. Троян такого типу називається Dropper;
- вандалізм: знищення даних (прання або переписування даних на диску, пошкодження файлів, що важко помічаються) та обладнання, виведення з ладу або відмови обслуговування комп'ютерних систем, мереж тощо, у тому числі у складі ботнета (організованої групи зомбованих комп'ютерів), наприклад, для організації DOS-атаки на цільовий комп'ютер (або сервер) одночасно з безлічі заражених комп'ютерів або розсилки спаму. Для цього іноді використовуються гібриди троянського коня і мережевого черв'яка - програми, що володіють здатністю до швидкісного розповсюдження комп'ютерним мережамта захоплюючі заражені комп'ютери в зомбі-мережу.;
- збирання адрес електронної пошти та використання їх для розсилки спаму;
- пряме управління комп'ютером (дозвіл віддаленого доступу до комп'ютера-жертви);
- шпигунство за користувачем та таємне повідомлення третім особам відомостей, таких як, наприклад, звичка відвідування сайтів;
- реєстрація натискань клавіш (Keylogger) з метою крадіжки інформації такого роду як паролі та номери кредитних карток;
- отримання несанкціонованого (та/або дарового) доступу до ресурсів самого комп'ютера або третіх ресурсів, доступних через нього;
- Встановлення Backdoor;
- використання телефонного модему для здійснення дорогих дзвінків, що спричиняє значні суми в телефонних рахунках;
- дезактивація або створення перешкод роботі антивірусних програм та фаєрволу.
На відміну від комп'ютерного вірусу, троян не шкідливий сам собою, він може безпосередньо атакувати комп'ютер. У нього просто є інша програма, щоб завдати шкоди або відкрити двері для хакерів. Знову ж таки, ви повинні бути пильними. Будьте завжди критично налаштовані і використовуйте розумне розуміння людей: наскільки ймовірним є ваш банк для відправки вам документа по електронній пошті? Не натискайте посилання в повідомленнях електронної пошти, а не відразу, коли вміст виглядає як спам. Завжди використовуйте антивірусну програму на своєму комп'ютері та зберігайте її в актуальному стані.
- Не завантажуйте файли з Інтернету з невідомих чи сумнівних сайтів.
- Не відкривайте вкладення листів від невідомих відправників.
Симптоми зараження троянською програмою:
Поява в реєстрі автозапуску нових програм;
- показ фальшивого закачування відеопрограм, ігор, порно-роликів та порносайтів, які ви не закачували та не відвідували;
- Створення знімків екрану;
- відкривання та закривання консолі CD-ROM;
- програвання звуків та/або зображень, демонстрація фотографій;
- перезапуск комп'ютера під час старту інфікованої програми;
- випадкове та/або безладне відключення комп'ютера.
Після цього шкідливе програмне забезпечення було названо тому, що, як знаменитий троянський кінь Одіссея, вона потай і, здавалося б, неживо повзе в комп'ютер, щоб розгорнути його руйнівний ефект. Потім вони можуть прочитати цей пульт дистанційного керування- Наприклад, у межах персональних даних.
Троянець як інструмент сучасних кіберзлочинців
Троянці поширені. Вже зараз ті, хто використовує троян, більше не повинні бути компетентними програмістами. На відповідних підфорумах продаються будівельні комплекти, які можна легко натиснути відповідно до ваших власних вимог - гарантувати захист від програм безпеки та преміум-підтримки.
Методи видалення троянської програми:
Троянські програми мають безліч видів і форм, тому немає єдиного способу їх видалення. Найбільш просте рішення полягає в очищенні папки Temporary Internet Files або знаходженні шкідливого файлута видалення його вручну (рекомендується Безпечний режим). Більшість антивірусних програм (Eset NOD32) здатні знайти та видалити троянські програми автоматично. Якщо антивірус не здатний знайти троян, завантаження ОС з альтернативного джерела може дати можливість антивірусній програмі виявити троян і видалити його. Надзвичайно важливе забезпечення великої точності виявлення регулярне оновлення антивірусної бази даних.
Дослідники безпеки постійно наново відкривають нові трояни. Останні стають все більш цікавими для злочинців, тому що все більше людей використовують їх для важливих ділових операцій. Таким чином, відомі проломи безпеки швидко набиваються і не можуть використовуватися для захоплення системи. Однак це не забезпечує абсолютного захисту, оскільки злочинці завжди знаходять недоліки, які ще не відомі відповідальній компанії-розробнику програмного забезпечення. Тому необхідно використовувати поточне програмне забезпечення безпеки.
Маскування:
Багато троян можуть перебувати на комп'ютері користувача без його відома. Іноді трояни прописуються в Реєстрі, що призводить до їхнього автоматичному запускупід час старту Windows. Також трояни можуть комбінуватися із легітимними файлами. Коли користувач відкриває такий файл або запускає програму, троян запускається також.
Користувачі мобільних пристроївповинні розглянути три рази, чи вони «корнують» свій пристрій або джейлбрейк. Це забезпечує більшу свободу в установці програмного забезпечення, але робить пристрій значно вразливішим. Як правило, магазини програм операційних систем добре захищені від шкідливого програмного забезпечення. Це не є обов'язковим для інших джерел.
Так звана двофакторна автентифікація фактично поділяє запит безпеки з двома різними пристроями. Якщо один із них інфікований, певний ступінь безпеки, як і раніше, забезпечується. Однак, цей принцип скасовується, коли смартфон використовується для обох функцій.
Принцип дії:
Троянські програми зазвичай складаються із двох частин:
- Клієнт
- сервер
Сервер запускається на машині-жертві і слідкує за з'єднаннями від Клієнта, який використовується атакуючою стороною. Коли Сервер запущено, він відстежує порт або кілька портів у пошуку з'єднання від Клієнта. Для того, щоб атакуюча сторона приєдналася до Сервера, вона повинна знати IP-адресу машини, на якій запущено Сервер. Деякі трояни відправляють IP-адресу машини-жертви атакуючій стороні електронною поштою або іншим способом. Як тільки з Сервером відбулося з'єднання, Клієнт може відправляти на нього команди, які Сервер виконуватиме на машині-жертві. В даний час завдяки NAT-технології отримати доступ до більшості комп'ютерів через їхню зовнішню IP-адресу неможливо. І тепер багато троян з'єднуються з комп'ютером атакуючої сторони, який встановлений на прийом з'єднань, замість того, щоб атакуюча сторона сама намагалася з'єднатися з жертвою. Багато сучасних троян також можуть безперешкодно обходити фаєрволи на комп'ютері жертви.
Таким чином, комп'ютер одночасно піддається впливу кількох різних небезпек. Після того, як троян був завантажений на комп'ютер, він ненавмисно відкривається у фоновому режимі, розпаковуючи відразу кілька вірусів та шкідливих програм.
Вони мають широкий спектр функцій, таких як уповільнення роботи системи, видалення основних файлів із програм або поява повідомлень про помилки та спливаючі вікна, відволікаючи користувача від інших вірусних атак. В основному, таке шкідливе програмне забезпечення виявляється у великих пакетах даних, де користувач не завжди може відстежувати, що він в даний час завантажує. Раніше були лише руйнівні комп'ютерні віруси. Їх зазвичай легко знайти. Сьогодні є більш витончений тягар, і з того часу багато хто ставив питання, як виявити троянця і як його видалити.
Реферат з інформатики
на тему: "Троянський вірус"
Виконав: Учень 9 «А» класу
Школи № 50
Рижков Максим
Троянські коні, утиліти прихованого адміністрування, intended-віруси, конструктори вірусів та поліморфні генератори.
Історія виникнення назви "троянський кінь".
Щоб зрозуміти, чому ці шкідники називаються троянами, ми маємо повернутися до давньої Греції. Грецька армія взяла в облогу Трою. Оскільки всі спроби не вдалося проникнути в обнесене стіною місто, вони хотіли використати хитрість. Кваліфіковані майстри будували величезного дерев'яного коня. Це було зроблено як подарунок міським воротам, і греки вдали, що пішли. Трояни витягли коня у місто та відсвяткували перемогу. Вночі грецькі солдати піднялися з коня, в якому вони ховалися.
І комп'ютер-троян. Як правило, це програма, яка прикидається чимось корисним. Тому користувач запускає його. Але потім він ховається, сидить на задньому плані операційної системиі починає свою шкідливу дію. В інших випадках трояни опиняються у вигляді поштових вкладень із нами. Електронна пошта вдає, що інформує про нагадування, і програма заражає комп'ютер.
У XII столітті до н. Греція оголосила війну Троє. Греки розпочали 10-річну війну проти цього міста, але так і не змогли його взяти. Тоді вони пішли на хитрість. За порадою Одіссея було споруджено величезний дерев'яний кінь. Всередині цього коня сховалося кілька героїв, а ахейське військо, занурившись у кораблі, відпливло до острова Тендос. Троянці вирішили, що облогу знято і, повіривши словам шпигуна Синона про те, що кінь залишений ахейцями для того, щоб умилостивити богиню Афіну, і володіння ним зробить Трою неприступною, перенесли його в місто, зруйнувавши при цьому частину фортечної стіни. Даремно жрець Лаокоон переконував троянців, що цього не слід робити. Вночі з утроби коня вийшли воїни-ахейці і відкрили міські ворота війську, що повернулося під покровом темряви. Троя була взята та зруйнована.
Існують різні способиобману звичайного користувачатроянці. Більшість можна запобігти. Наприклад, користувачеві пропонується, щоб він отримував попередження електронною поштою і зависав заражений файл як передбачуваний доказ поштою. Троянець потрапляє в систему через дірки безпеки у браузері під час відвідин веб-сторінки. Багато хто відкриває програму, щоб переконатися. . Проти перших двох випадків ви можете ефективно захищати себе, використовуючи свій розум і, можливо, переналаштовуючи вашу систему.
Програмне забезпечення має завантажуватися лише із захищених джерел. Тріщини програми дуже часто забруднені. І у разі таких попереджень та нагадування, це допомагає зберігати спокій і думати: Я отримую попередження? І звідки надішли мої адреси електронної пошти? І чи немає сенсу взагалі вішати передбачувані докази в зовсім іншому форматі на пошту і застібати її раніше? Ці відомі розширення файлів не відображаються. Якщо відомі розширення файлів не були засліплені, ви побачите повне ім'я і, можливо, будете обережніші з його клацанням.
Ось чому подібні програми називають "троянськими конями" - вони працюють непомітно для користувача ПК, прикриваючись діями інших програм.
Що таке троянський кінь?
Троянський кінь - це програма, яка надає стороннім доступ до комп'ютера для здійснення будь-яких дій на місці призначення без попередження самого власника комп'ютера або надсилає за певною адресою зібрану інформацію. При цьому вона, як правило, видає себе за щось мирне і надзвичайно корисне. Частина троянських програм обмежується тим, що відправляє ваші паролі поштою своєму творцю або людині, яка налаштувала цю програму (e-mail trojan). Однак для користувачів Internet найбільш небезпечні програми, що дозволяють отримати віддалений доступдо їхньої машини з боку (BackDoor). Найчастіше трояни потрапляють на комп'ютер разом із корисними програмами чи популярними утилітами, маскуючись під них.
Ось як це відбувається крок за кроком. У разі сумнівів ви повинні зберегти файл тільки на жорсткому диску та або перевірити його на працюючому антивірусному сканері, або з допомогою. Проти троянських інфекцій у минулому, з одного боку, звичайно, допомагає підтримувати ваш браузер у актуальному стані. Це тримає багато таких інфекцій від тіла.
І, звичайно, вірусний сканер у будь-який час. Комп'ютерні віруси є одними з найбільших загроз для комп'ютерів, мереж і навіть для самого Інтернету. Вони завдають шкоди запасам даних і завдяки їх частковому надзвичайно агресивному поширенню для незначного завантаження даних.
Особливістю цих програм, що змушує класифікувати їх як шкідливі, є відсутність попередження про їх інсталяцію та запуск. При запуску троян встановлює себе в систему і потім слідкує за нею, при цьому користувачу не видається жодних повідомлень про його дії. Більше того, посилання на троянця може бути відсутнім у списку активних програм або зливатися з ними. В результаті користувач комп'ютера може і не знати про його присутність у системі, в той час як комп'ютер відкритий для віддаленого керування. Досить часто під поняттям "троян" мається на увазі вірус. Насправді, це далеко не так. На відміну від вірусів, трояни спрямовані на отримання конфіденційної інформації та доступ до певних ресурсів комп'ютера.
Можливі різні шляхи проникнення трояна у вашу систему. Найчастіше це відбувається при запуску будь-якої корисної програми, в яку впроваджено сервер трояна. У момент першого запуску сервер копіює себе в якусь директорію, прописує себе на запуск у системному реєстрі, і навіть якщо програма-носій ніколи більше не запуститься, ваша система вже заражена трояном. Заразити машину ви можете самі, запустивши заражену програму. Зазвичай це відбувається, якщо програми завантажуються не з офіційних серверів, а з особистих сторінок. Впровадити трояна можуть сторонні люди за наявності доступу до вашої машини, просто запустивши його з дискети.
Типи Троянів
На даний момент найбільшого поширення набули трояни наступних типів:
1. Утиліти прихованого (віддаленого) адміністрування (BackDoor - з англ. "Задні двері").
Троянські коні цього по суті є досить потужними утилітами віддаленого адміністрування комп'ютерів у мережі. За своєю функціональністю вони багато в чому нагадують різні системи адміністрування, що розробляються відомими фірмами – виробниками програмних продуктів.
Єдина особливість цих програм змушує класифікувати їх як шкідливі троянські програми: відсутність попередження про інсталяцію та запуск.
При запуску троянець встановлює себе в системі і потім слідкує за нею, при цьому користувачу не видається жодних повідомлень про дії троянця в системі. Більше того, посилання на троянця може бути відсутнім у списку активних програм. В результаті "користувач" цієї троянської програми може і не знати про її присутність у системі, тоді як його комп'ютер відкритий для віддаленого керування.
Сучасні утиліти прихованого адміністрування (BackDoor) досить прості у використанні. Вони зазвичай складаються головним чином із двох основних частин: сервера (виконавець) та клієнта (керівний орган сервера).
Сервер - це файл, який виконується певним чином впроваджується на вашу машину, завантажується в пам'ять одночасно з запуском Windowsі виконує одержувані від віддаленого клієнтакоманди. Сервер відправляється жертві, і надалі вся робота ведеться через клієнта комп'ютера хакера, тобто. через клієнта надсилаються команди, а сервер їх виконує. Зовні його присутність не виявляється. Після запуску серверної частини трояна на комп'ютері користувача резервується певний порт, який відповідає за зв'язок з Інтернетом.
Після цих дій зловмисник запускає клієнтську частину програми, підключається до цього комп'ютера через відкритий в онлайн порт і може виконувати на вашій машині практично будь-які дії (це обмежується лише можливостями програми, що використовується). Після підключення до сервера керувати віддаленим комп'ютером можна практично своїм: перезавантажувати, вимикати, відкривати CD-ROM, видаляти, записувати, змінювати файли, виводити повідомлення і т.д. На деяких троянах можна змінювати відкритий порту процесі роботи і навіть встановлювати пароль доступу для "хазяїна" даного трояна. Існують також трояни, які дозволяють використовувати "затроєну" машину як проксі-сервер ( протоколи HTTPабо Socks) для приховування реальної IP-адреси хакера.
В архіві такого трояна зазвичай є 5 наступних файлів: клієнт, редактор для сервера (конфігуратор), сервер трояна, пакувальник (склейник) файлів, файли документації. У нього досить багато функцій, серед яких можна виділити такі:
1) збір інформації про операційну систему;
2) визначення кешованих та dial-up-паролей, а також паролів популярних програмдодзвону;
3) знаходження нових паролів та відправлення іншої інформації на e-mail;
4) скачування та запуск файлів по зазначеному шляху;
5) закривання вікон відомих антивірусів та файрволлів при виявленні;
6) виконання стандартних операцій з роботи з файлами: перегляду, копіювання, видалення, зміни, скачування, закачування, запуску та відтворення;
7) автоматичне видаленнясервера трояна із системи через вказану кількість днів;
8) керування CD-ROM, включення/відключення сполучення клавіш Ctrl+Alt+Del, перегляд та зміна вмісту буфера обміну, приховування та показ таскбара, трею, годинника, робочого столу та вікон;
9) встановлення чату з жертвою, зокрема. для всіх користувачів, підключених до сервера;
10) відображення на екрані клієнта всіх кнопок, тобто. є функції клавіатурного шпигуна;
11) виконання знімків екрану різної якостіта розміру, перегляд певної області екрана віддаленого комп'ютера, зміна поточної роздільної здатності монітора.
Трояни прихованого адміністрування і зараз найпопулярніші. Кожному хочеться стати власником такого трояна, оскільки він може надати виняткові можливості для управління та виконання різних дій на віддаленому комп'ютері, які можуть налякати більшість користувачів і доставити безліч веселощів господарю трояна. Дуже багато хто використовують трояни для того, щоб просто знущатися з когось, виглядати в очах оточуючих "суперхакером", а також для отримання конфіденційної інформації.
2. Поштові (е-mail trojan).
Трояни, що дозволяють "витягувати" паролі та іншу інформацію з файлів вашого комп'ютера та надсилати їх електронною поштою господарю. Це можуть бути логіни та Internet-паролі провайдера, пароль від поштової скриньки, паролі ICQ та IRC та ін.
Щоб надіслати листа власнику поштою, троян зв'язується з поштовим серверомсайту з протоколу SMTP(Наприклад, на smtp.mail.ru). Після збору необхідних даних троян перевірить, чи надсилалися ці дані. Якщо ні - дані надсилаються та зберігаються у регістрі. Якщо вже надсилалися, то з регістру витягується попередній лист, і відбувається його порівняння з поточним. Якщо в інформації відбулися зміни (з'явилися нові дані), то лист надсилається, і в регістрі записуються свіжі дані про паролі. Одним словом, цей вид троянів просто займається збиранням інформації, і жертва може навіть не здогадуватися, що її паролі вже комусь відомі.
В архіві такого трояна зазвичай знаходиться 4 файли: редактор сервера (конфігуратор), сервер трояна, пакувальник (склейник) файлів, посібник для використання.
В результаті роботи можуть визначатися такі дані:
1) IP-адреса комп'ютера жертви;
2) докладні відомості про систему (ім'я комп'ютера та користувача, версія Windows, модем і т.д.);
3) усі кешовані паролі;
4) всі налаштування телефонних з'єднань включаючи телефонні номери, логіни та паролі;
5) паролі від ICQ;
6) N останніх відвіданих сайтів.
3. Клавіатурні (Keylog-Gers).
Ці трояни записують все, що було набрано на клавіатурі (включаючи паролі) у файл, який згодом відправляється на певний e-mail або проглядається через FTP (File Transfer Protocol). Keylogger"и зазвичай займають мало місця і можуть маскуватися під інші корисні програми, Через що їх буває важко виявити. Ще однією причиною проблеми виявлення такого трояна є те, що його файли називаються як системні. Деякі трояни цього типу можуть виділяти та розшифровувати паролі, знайдені у спеціальних полях для введення паролів.
Такі програми вимагають ручного налаштуваннята маскування. Keylogger"и можна використовувати не тільки в хуліганських цілях. Наприклад, їх дуже зручно поставити на своєму робочому місці або вдома на час від'їзду.
4. Програми-жарти (Joke programs).
Ці програми нешкідливі за своєю суттю. Вони не завдають комп'ютеру будь-якої прямої шкоди, проте виводять повідомлення про те, що така шкода вже заподіяна, може бути заподіяна за будь-яких умов, або попереджають користувача про неіснуючу небезпеку. Програми-жарти залякують користувача повідомленнями про форматування жорсткого диска, Визначають віруси в незаражених файлах, виводять дивні вірусоподібні повідомлення і т.д. – це залежить від почуття гумору творця такої програми. Звичайно ж, тут немає жодних причин для хвилювання, якщо за цим комп'ютером не працюють інші недосвідчені користувачі, яких подібні повідомлення можуть налякати.
5. До "троянських коней" також можна віднести заражені файли, код яких певним чином підправлений або змінений криптографічний метод. Наприклад, файл шифрується спеціальною програмоюта (або) упаковується невідомим архіватором. У результаті навіть останні версіїантивірусів не можуть визначити наявність у файлі трояна, оскільки носій коду відсутній у їхній антивірусній базі.
Захист від троянів (платформа Windows)
Виявити роботу сучасної програми на своєму комп'ютері досить складно. Однак можна виділити такі рекомендації для виявлення та видалення троянських програм:
1. Використовуйте антивірусну програму.
Обов'язково використовуйте антивірусну програму для перевірки файлів та дисків, регулярно оновлюючи її антивірусну базу через Інтернет. Якщо база не оновлюється, результат антивірусу зводиться до нуля, оскільки нові трояни з'являються з не меншою регулярністю, ніж оновлення антивірусних баз.
Тому цей метод не можна визнати абсолютно надійним. Іноді, як свідчить практика, якщо сервер трояна впроваджено виконуваний файл, антивіруси у часто не можуть його виявити. На сьогоднішній момент з найкращої сторониу цьому плані зарекомендували себе антивіруси Kaspersky Anti-Virusта Dr. Web.
Поряд з антивірусами існують спеціалізовані програми (антигени), які можуть знайти, визначити та знищити більшу частину троянів, проте боротися з ними стає все складніше та складніше. Як таку програму, призначену для пошуку та знищення троянів на вашому комп'ютері, можна порекомендувати Trojan Hunter.
2. Встановіть персональний брандмауер (файрволл) та уважно розберіться у його налаштуваннях. Основною ознакою роботи трояна є зайві відкриті порти. При запуску сервера троянської програми файрволл зсередини заблокує її порт, позбавивши цим зв'язки з Інтернетом. Файрволл дає додатковий захист, однак, з іншого боку, користувачеві просто набридає постійно відповідати на запити програми щодо роботи певного сервісу та проходження даних через певний порт. Іноді бувають крайні випадки, коли навіть файрволл і антивірус неспроможні щось зробити, оскільки закриваються трояном. Це також сигнал користувача про те, що в системі присутній троян.
Для контролю відкритих портів можна також скористатися сканерами портів або програмами, які показують відкриті в теперішній моментпорти та можливе підключеннядо них сторонніх користувачів.
З файрволлів досить якісним продуктом є Agnitum Outpost Firewall Pro, що дозволяє налаштувати роботу додатків і необхідний рівень користувача.
3. Обмежте кількість сторонніх, які мають доступ до вашого комп'ютера, оскільки досить велика кількість троянів та вірусів переноситься на зовнішніх носіях (дискетах та дисках). Також рекомендується періодично змінювати паролі на особливо важливі облікові записи.
4. Не завантажуйте файли та фотографії з сумнівних сайтів (домашні сторінки з фото тощо). Досить часто фотографія та сервер трояна скріплені ("склеєні") разом для присиплення пильності користувача, і цей фактор не викликає сумнівів. Тут троян маскується під картинку. При цьому іконка дійсно буде від картинки, але розширення залишиться *.ехе. Після дворазового натискання на фотографію троян запускається та робить свою чорну справу.
5. Не слід використовувати сумнівні програми, що нібито прискорюють роботу комп'ютера в Інтернеті в N раз (прискорюють роботу CD-ROM, миші, килимка для миші тощо). При цьому увагу необхідно звернути на іконку програми, особливо якщо ви заздалегідь не домовлялися. У цьому випадку можна поставити запитання відправнику, і якщо позитивної відповіді не було, видаляти таку програму.
6. При отриманні листа від невідомого адресата слід звернути особливу увагу розширення вкладеного файла. Можливе маскування назви завірусованого розширення файлу *.exe, *.jpg, *.bat, *.com, *.scr, *.vbs подвійним закінченням (*.doc .exe), причому букви.exe можуть бути розділені великою кількістюпробілів або перенесені на наступний рядок.
При отриманні листа з прикріпленим архівом (файл з розширеннями *.rar, *.zip, *.arj) не слід відразу його відкривати та переглядати файли. По можливості, його треба зберегти на диск, після чого перевірити антивірусною програмоюі лише після цього відкрити. Якщо вірус містить вірус, необхідно негайно видалити весь архів, не намагаючись його зберігати або, тим більше, відкривати файли.
7. Якщо ви користуєтеся системою Windows XP, то при ризику відкрити заражений файл створіть точку відновлення. Для Windows 98 рекомендується встановити аналогічну програму, що дозволяє здійснити відкат системи назад (наприклад, Second Chance або іншу подібного типу).
8. При використанні стандартного поштового клієнта Windows (Microsoft Outlook Express) слід вимкнути автоматичне отримання пошти, яке може запустити закодованого трояна, що знаходиться у тілі (всередині) листа. Замість програми Outlook Expressви також можете використовувати більш безпечний та швидкий поштовий клієнт The Bat!, що є одним із найкращих.
9. Здійснюйте контроль завдань та сервісів, що запускаються у системі. Практика показує, що 99% троян прописуються на запуск у системному реєстрі. Для ефективного видалення трояна із системи потрібно спочатку видалити запис у реєстрі або рядок, що його запускає, потім перезавантажити комп'ютер, а потім спокійно видаляти цей файл.
10. Якщо ПК поводиться підозріло, а продовжувати роботу необхідно, вводьте вручну свій логін та пароль у вікнах, минаючи збереження їх у браузері або поштовому клієнті.
11. Бажано робити копії важливих файлів, зберігаючи їх на дискеті чи CD-диску. Це допоможе швидко відновити втрачені дані при можливому краху системи та подальшому форматуванні жорстких дисків.
Intended-віруси
До таких вірусів належать програми, які на перший погляд є стовідсотковими вірусами, але не здатні розмножуватися через помилки.
Наприклад, вірус, який при зараженні "забуває" помістити на початок файлів команду передачі управління на код вірусу, або записує в неї неправильну адресу свого коду, або неправильно встановлює адресу переривання (що в більшості випадків завішує комп'ютер) і т.д.
До категорії "intended" також належать віруси, які з наведених вище причин розмножуються лише один раз – з "авторської" копії. Заразивши якийсь файл, вони втрачають здатність до подальшого розмноження.
З'являються intended-віруси найчастіше при невмілій перекомпіляції будь-якого вже існуючого вірусу, або через недостатнє знання мови програмування, або через незнання технічних тонкощів операційної системи.
Конструктори вірусів
Конструктор вірусів – це утиліта, призначена для виготовлення нових комп'ютерних вірусів. Відомі конструктори вірусів для DOS, Windows та макро-вірусів. Вони дозволяють генерувати вихідні тексти вірусів (ASM-файли), об'єктні модулі та/або безпосередньо заражені файли.
Деякі конструктори (VLC, NRLG) забезпечені стандартним віконним інтерфейсом, де за допомогою системи меню можна вибрати тип вірусу, уражені об'єкти (COM та/або EXE), наявність або відсутність самошифрування, протидія відладчику, внутрішні текстові рядки, вибрати ефекти, що супроводжують роботу вірусу і т.п. Інші конструктори (PS-MPC, G2) немає інтерфейсу і зчитують інформацію про тип вірусу з конфігураційного файла.
Поліморфні генератори
Поліморфік-генератори, як і конструктори вірусів, є вірусами у сенсі цього терміну, оскільки у їх алгоритм закладаються функції розмноження, тобто. відкриття, закриття та записи у файли, читання та записи секторів і т.д. Головною функцієюподібного роду програм є шифрування тіла вірусу та генерація відповідного розшифровувача.
Зазвичай поліморфні генератори поширюються їх авторами без обмежень як файла-архіва. Основним файлом в архіві будь-якого генератора є модуль, що містить цей генератор. У всіх генераторах, що зустрічалися, цей модуль містить зовнішню (external) функцію - виклик програми генератора.
Таким чином автору вірусу, якщо він бажає створити справжній поліморфік-вірус, не доводиться корпіти над кодами власного за/розшифровувача. За бажанням він може підключити до свого вірусу будь-який відомий поліморфік-генератор і викликати його з кодів вірусу. Фізично це досягається наступним чином: об'єктний файл вірусу лінкується з об'єктним файлом генератора, а вихідний текст вірусу перед командами його запису у файл вставляється виклик поліморфік-генератора, який створює коди розшифровувача і шифрує тіло вірусу.
